ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« この「つながらない」は…。 | トップページ | 大丈夫かNOD32! »

2009年4月19日 (日)

またもやStop:0x00000024。今度はierdfgh.exeとセット。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

こちらは、ご紹介でのお客様。 「ご迷惑をおかけしております」から「再起動を繰り返す」んだそうです。

もうすっかりXPのトラブルの定番です…。

こういうときは、起動時に「F8」を何度かたたいてもらい、「Windows 拡張オプション メニュー」を出し、「システム障害時の自動的な再起動を無効にする」を選択すれば、再起動の繰り返しが止まり、エラーコードの書いてあるブルースクリーンが出せます。

電話での問診で、それをやってもらったところ…。

どうやら「Stop:0x00000024」だそうです…。

これはついぞこないだも経験したばかり。

2009年3月20日 (金) Stop:0x00000024のブルースクリーン。今度は何だっ?!

これは、「NTFS.SYS」自体の問題か、NTFSファイルシステム破損か、ハードディスクの破損か、ディスクドライバの破損か、です。 前回と同じ症状でも、それ用に細工したWindows2000のパソコンが必要ですし、ハードディスク障害なら、いずれにせよ引き取り修理です。

幸いにもクルマで20分程度の近所ですので、引き取りに行きました。

ブルースクリーンで「Stop:0x00000024」が出ることを確認しました。 最悪はハードディスク交換となりますし、そうでなくてもデータの保証は一切できないことをお伝えして、付属品を含めて引取りです。

しかし、その後の惨劇を誰が想像しえたでしょう…。


まずは本体をばらして、ハードディスクを取り出して、NTFS.sysを無効にしたWindows2000のメンテ用のパソコンで、コマンドプロンプトより、

CHKDSK [drivename]: /f

を実施。 前回は、かなりの数の修正がかかりましたが、今回はいともあっけなく終了。 こんな感じ。

F: のファイル システムをチェックしています
ファイル システムの種類は NTFS です。
種類 0x80 およびインスタンス タグ 0x1 の属性の最大 VCN 0x131481d
が正しくありません。予期されている値は 0xc3ca0 です。
壊れた属性レコード (128、$Bad) を
ファイル レコード セグメント 8 から削除します。
ドライブ上の軽度な矛盾をクリーンアップしています。
ファイル 0x9 のインデックス $SII から使用されていない 83 インデックス エントリを消去しています。
ファイル 0x9 のインデックス $SDH から使用されていない 83 インデックス エントリを消去しています。
83 未使用のセキュリティ記述子を消去しています。
不良クラスタ ファイル エラーを修復します。
CHKDSK はマスタ ファイル テーブル (MFT) ビットマップに割り当て済みとしてマークされている空き領域を検出しました。
CHKDSK はボリューム ビットマップに割り当て済みとしてマークされている空き領域を検出しました。
ファイル システムを修正しました。
ものの10分程度で終わってしまいました。

うーん…なんだ、あっさり解決か…と思ったのはそこまで。

元の本体にハードディスクを取り付けなおして早速起動。

起動はしましたが…動きがおかしい。

もうね、なんかね、やたらと時間がかかるんね。

スタートボタンが反応しないと思ったら、タスクバーに矢印を持って来たら砂時計ですし…。 ウイルス対策ソフトが入ってないとか吹き出しが出るんで、それほど引っかかるソフトがあるはずがないんですが…

ようやくタスクマネージャを起動してみたら…どうしたわけか、Winlogon.exeが50%も食ってる。 うーん…普通はほとんど0%のはずなんだけどなぁ…。

その他、wuauclt.exeなんかが30%とか、いろいろあって100%近い。 こりゃダメだわ…。

とりあえず、例のチェッカーを試してみる。

2009年3月 6日 (金) USBメモリ感染ウイルスチェッカーを作ってみよう!

これで反応するようなら、確実に感染してるんですが…反応無し。 …いや、反応がなくても、「感染してない」という確認にはならない。

それにしても反応が鈍すぎる。話にならん。 とりあえず、いったんセーフモードに。

で、HijackThisでチェックしたら…

Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\expiorer.exe
C:\WINDOWS\AhnRpta.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\All Users\Documents\HijackThis\HiJackThis.exe
…は?????

C:\WINDOWS\expiorer.exe ??? C:\WINDOWS\AhnRpta.exe ???

前者は、「explorer.exe」のタイプミスのようなファイル名。ありえねー。 後者は、AhnLabo(アンラボ)の関連ファイルみたいに見えるけど…。

で、起動項目の中には…。

O4 - HKCU\..\Run: [kxswsoft] C:\WINDOWS\system32\ierdfgh.exe

…∑( ̄□ ̄; で、出た!! ierdfgh.exe !!

2009年2月27日 (金) またもやUSBメモリのウイルス。今回はierdfgh.exe mmvo.exe uvg.com afmain0.dll。

この時にかなりてこずった、アレです。

参考リンクにも、「AhnRpta.exe」のファイル名はあった。 やはりクロでしたね…。

ということで、書込み禁止にしたUSBメモリのチェッカーは、チェッカーとして役に立たなかった、ってことですね…。 もうダメなんだ…対応早すぎ。

そんなことでガックリきても仕方ない。

とにかく前回やった内容を改めてチェック。 例によって隠しファイルの表示がうまくいかない。 前回はスタートメニューの「検索」からでうまくいったが、今回はダメ。表示できない。

レジストリをいじってもいいんだけど、そもそも面倒で危険だし、しくじるとまたやり直しというクソ面倒なことをするつもりはないですし、ターゲットとなるファイルはわかっているので、コマンドプロンプトから操作することに。

コマンドプロンプトから、まずはCドライブ直下のAutorun.infのあぶり出しから。

attrib c:\autorun.inf -s -h -r

このコマンドで、隠しファイル属性が外れて書き換えが利く状態になる。 コマンドを打ち込んでEnter。 エラーが出ないということは、ファイルが存在して、コマンドが通ったということ。 やっぱりあった。出てきた出てきた。エクスプローラー表示にあぶり出されてきた。

次は「AhnRpta.exe」と「expiorer.exe」のあぶり出し。

attrib C:\WINDOWS\AhnRpta.exe -s -h -r
attrib C:\WINDOWS\expiorer.exe -s -h -r

実物を見てみた。

System32_01

…( ̄△ ̄;

なんでこのファイル名でメモ帳のアイコンやねん…。

とりあえず、有無を言わさず、タスクマネージャで終了させて名前の変更。

…復活しやがった…(ー益ー ;

変更した名前のファイルはそのままで、元の名前のファイルがまた現れたのだ。 しょうがない、msconfigで起動項目から外して再起動。

今度は起動ファイルのチェックだ。コマンドプロンプトから、

type c:\autorun.inf

これでファイルの中身がコマンドプロンプトから安全に確認できます。 …うーむ、どうやら「c:\k8tb.bat」とやらを起動しているらしい。 コイツが主犯か…。 ちょっとぐぐってみた。

Worm:Win32/Taterf.B, Trojan.Win32.Inhoo, Trojan:Win32/Inhoo.A :ThreatExpert Report

…∑( ̄□ ̄; なんと前日アップされたばかりの情報。 ファイルサイズは全てこの情報と同じ。

c:\windows\system32\pytdfse0.dll
c:\windows\system32\pytdfse1.dll

これらもいるらしいので、またコマンドプロンプトからattribコマンドであぶり出し。 きっちり出てきたのでリネーム。

ついでにこれらの怪しいファイル全て、同じ場所に「同じ名前のフォルダ」を作って対処。 コレなら簡単には復活するまい!

…なんとか症状は治まりました。一安心です。

あとは、レジストリエディタで、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Advanced\Folder\Hidden\SHOWALL

ここにある「CheckedValue」を「1」に書き換え。 これをやらないと、「すべてのファイルの表示」への変更ができないんですよね…。

これでエクスプローラの「ツール」→「フォルダオプション」→「表示」タブで「すべてのファイルの表示」から変更できるようになりました。

…って!!! なんじゃこりゃっ!!!

つづく。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2009年04月19日(日) 定番トラブル, ウィルス・スパイウェア関連, ソフトウェア不具合関連, ソフトウェア不具合関連(セキュリティホール), ネットにつながらない・遅い, ハードウェア不具合関連(ハードディスク), パソコントラブル, パソコン・インターネット, フリーズ・ブルースクリーン・再起動・電源切れる, 基本操作・便利技関連, 日記・コラム・つぶやき, 起動しない・起動が遅い |

« この「つながらない」は…。 | トップページ | 大丈夫かNOD32! »

定番トラブル」カテゴリの記事

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

ネットにつながらない・遅い」カテゴリの記事

ハードウェア不具合関連(ハードディスク)」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

フリーズ・ブルースクリーン・再起動・電源切れる」カテゴリの記事

基本操作・便利技関連」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

起動しない・起動が遅い」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/44717594/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: またもやStop:0x00000024。今度はierdfgh.exeとセット。:

» 大丈夫かNOD32! トラックバック パソコントラブル出張修理・サポート日記
こちら、前記事の続き。 ierdfgh.exeなどの怪しい起動項目を駆除し、症状 続きを読む

受信: 2009/04/24 8:34:55

コメント

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« この「つながらない」は…。 | トップページ | 大丈夫かNOD32! »